AWS Identity and Access Management
사용 설명서

가상 멀티 팩터 인증(MFA) 디바이스 활성화(콘솔)

스마트폰 또는 기타 디바이스를 가상 MFA 디바이스로 사용할 수 있습니다. 이를 위해서는 표준 기반 TOTP(시간 기반 일회용 암호) 알고리즘인 RFC 6238과 호환되는 모바일 앱을 설치해야 합니다. 이러한 앱에서는 6자리 인증 코드가 생성됩니다. 가상 MFA는 안전하지 않은 모바일 디바이스에서 실행될 수 있으므로 U2F 디바이스 또는 하드웨어 MFA 디바이스와 동일한 수준의 보안을 제공하지 않을 수 있습니다. 하드웨어 구매 승인을 기다리는 동안 또는 하드웨어 도착을 기다리는 동안 가상 MFA 디바이스를 사용하는 것이 좋습니다.

대부분의 가상 MFA 앱은 여러 개의 가상 디바이스 생성을 지원하므로 여러 개의 AWS 계정이나 사용자에게 동일한 앱을 사용할 수 있습니다. 그러나 MFA 디바이스는 사용자 1명당 단 1개만 활성화할 수 있습니다.

사용할 수 있는 가상 MFA 앱 목록은 멀티 팩터 인증 단원을 참조하십시오. 단, AWS에서 사용하려면 가상 MFA 앱이 6자리 OTP를 생성해야 합니다.

중요

AWS에서 사용할 수 있도록 가상 MFA 디바이스를 구성할 때는 QR 코드 또는 보안 키를 안전한 곳에 저장하는 것이 좋습니다. 그렇게 하면 스마트폰을 잃어버리거나 어떤 이유로 MFA 소프트웨어 앱을 재설치해야 하는 경우 앱을 재구성해 동일한 가상 MFA를 사용할 수 있습니다. 그러므로 사용자 또는 루트 사용자를 위해 AWS에서 새로운 가상 MFA를 생성할 필요가 없습니다.

필요한 권한

IAM 사용자의 가상 MFA 디바이스를 관리하려면 다음 정책에 따른 권한이 있어야 합니다. AWS: MFA 인증 IAM 사용자가 My Security Credentials(내 보안 자격 증명) 페이지에서 자신의 MFA 디바이스를 관리할 수 있도록 허용합니다.

IAM 사용자에 대한 가상 MFA 디바이스 활성화(콘솔)

AWS Management 콘솔에서 IAM을 사용하여 계정의 IAM 사용자를 위한 가상 MFA 디바이스를 활성화 및 관리할 수 있습니다. AWS CLI 또는 AWS API를 사용하여 MFA 장치를 활성화하고 관리하려면 가상 MFA 디바이스 활성화 및 관리(AWS CLI 또는 AWS API) 단원을 참조하십시오.

참고

MFA를 구성하려면 사용자의 가상 MFA 디바이스가 호스팅되는 하드웨어에 대한 물리적 액세스가 필요합니다. 예를 들어, 스마트폰에서 가상 MFA 디바이스를 실행하는 사용자에게 MFA를 구성할 수 있습니다. 이 경우 마법사를 완료하기 위해 스마트폰을 사용할 수 있어야 합니다. 이러한 이유로 사용자가 자신의 가상 MFA 디바이스를 직접 구성 및 관리할 수 있도록 허용하는 것이 좋습니다. 이 경우에는 사용자에게 필요한 IAM 작업 권한을 부여해야 합니다. 이러한 작업 권한을 부여하는 IAM 정책에 대한 자세한 내용과 예는 AWS: MFA 인증 IAM 사용자가 My Security Credentials(내 보안 자격 증명) 페이지에서 자신의 MFA 디바이스를 관리할 수 있도록 허용합니다. 단원을 참조하십시오.

IAM 사용자에 대한 가상 MFA 디바이스 활성화(콘솔)

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 Users(사용자)를 선택합니다.

  3. 사용자 이름 목록에서 원하는 MFA 사용자 이름을 선택합니다.

  4. Security credentials(보안 자격 증명) 탭을 선택합니다. Assigned MFA device(할당된 MFA 디바이스) 옆의 관리를 선택합니다.

  5. Manage MFA Device(할당된 MFA 디바이스) 마법사에서 Virtual MFA device(가상 MFA 디바이스 비활성화)를 선택한 후 계속을 선택합니다.

    IAM은 QR 코드 그래픽을 포함하여 가상 MFA 디바이스의 구성 정보를 생성 및 표시합니다. 그래픽은 QR 코드를 지원하지 않는 디바이스 상에서 수동 입력할 수 있는 '보안 구성 키'를 표시한 것입니다.

  6. 가상 MFA 앱을 엽니다. 가상 MFA 디바이스의 호스팅에 사용되는 앱 목록은 멀티 팩터 인증을 참조하십시오.

    가상 MFA 앱이 다수의 가상 MFA 디바이스 또는 계정을 지원하는 경우 새로운 가상 MFA 디바이스 또는 계정을 생성하는 옵션을 선택합니다.

  7. MFA 앱의 QR 코드 지원 여부를 결정한 후 다음 중 한 가지를 실행합니다.

    • 마법사에서 Show QR code(QT 코드 표시)를 선택한 다음 해당 앱을 사용하여 QR 코드를 스캔합니다. 예를 들어 카메라 모양의 아이콘을 선택하거나 코드 스캔(Scan code)과 비슷한 옵션을 선택한 다음, 디바이스의 카메라를 사용하여 코드를 스캔합니다.

    • Manage MFA Device(MFA 디바이스 관리) 마법사에서 Show secret key(보안 키 표시)을 선택한 다음 MFA 앱에 보안 키를 입력합니다.

    모든 작업을 마치면 가상 MFA 디바이스가 일회용 암호 생성을 시작합니다.

  8. Manage MFA Device(MFA 디바이스 관리) 마법사의 MFA code 1(MFA 코드 1) 상자에 현재 가상 MFA 디바이스에 표시된 일회용 암호를 입력합니다. 디바이스가 새로운 일회용 암호를 생성할 때까지 최대 30초 기다립니다. 그런 다음 두 번째 일회용 암호를 MFA code 2(MFA 코드 2) 상자에 입력합니다. Assign MFA(MFA 할당)을 선택합니다.

    중요

    코드를 생성한 후 즉시 요청을 제출하십시오. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, 디바이스를 재동기화할 수 있습니다.

이제 AWS에서 가상 MFA 디바이스를 사용할 준비가 끝났습니다. AWS Management 콘솔의 MFA 사용 방법에 대한 자세한 내용은 IAM 로그인 페이지에 MFA 디바이스 사용 단원을 참조하십시오.

AWS 계정 루트 사용자용 가상 MFA 디바이스 활성화(콘솔)

AWS Management 콘솔을 사용하여 루트 사용자의 가상 MFA 디바이스를 구성 및 활성화할 수 있습니다. AWS 계정에 대해 MFA 디바이스를 활성화하려면 루트 사용자 자격 증명으로 AWS에 로그인해야 합니다.

MFA 디바이스를 분실하거나, 도난당했거나, 디바이스가 작동하지 않을 경우에도 다른 인증 요소를 사용해 루트 사용자로 로그인할 수 있습니다. MFA 디바이스로 로그인할 수 없는 경우에 사용자 계정으로 등록된 이메일 및 전화로 사용자 ID를 확인하여 로그인할 수 있습니다. 루트 사용자용 MFA를 활성화하기 전에 계정 설정과 연락처 정보를 검토하여 이메일 및 전화번호에 대한 액세스 권한이 있는지 확인하십시오. 다른 인증 요소를 사용하여 로그인하는 방법은 MFA 디바이스 분실 또는 작동 중단 시 문제 해결 단원을 참조하십시오. 이 기능을 비활성화하려면 AWS Support에 문의하십시오.

참고

MFA를 사용하여 로그인인증 디바이스 문제 해결과 같은 다른 텍스트가 나타날 수 있습니다. 그러나 동일한 기능이 제공됩니다. 어느 경우든 대체 인증 팩터를 사용하여 계정 이메일 주소 및 전화 번호를 확인할 수 없는 경우 AWS Support에 문의하여 MFA 설정을 비활성화하십시오.

루트 사용자에서 사용할 목적으로 가상 MFA 디바이스를 구성 및 활성화하려면(콘솔)

  1. AWS Management 콘솔에 로그인합니다.

  2. 탐색 표시줄 오른쪽에서 계정 이름을 선택하고 내 보안 자격 증명(My Security Credentials)을 선택합니다. 필요한 경우 보안 자격 증명으로 계속(Continue to Security Credentials)을 선택합니다. 그런 다음 해당 페이지의 멀티 팩터 인증(MFA) 섹션을 펼칩니다.

    
                  탐색 메뉴의 내 보안 자격 증명
  3. Activate MFA(MFA 활성화)를 선택합니다.

  4. 마법사에서 Virtual MFA device(가상 MFA 디바이스)를 선택한 후 계속을 선택합니다.

    IAM은 QR 코드 그래픽을 포함하여 가상 MFA 디바이스의 구성 정보를 생성 및 표시합니다. 그래픽은 QR 코드를 지원하지 않는 디바이스 상에서 수동 입력할 수 있는 보안 구성 키를 표시한 것입니다.

  5. 디바이스에서 가상 MFA 앱을 엽니다.

    가상 MFA 앱이 다수의 가상 MFA 디바이스 또는 계정을 지원하는 경우 새로운 가상 MFA 디바이스 또는 계정을 생성하는 옵션을 선택합니다.

  6. 앱을 구성하는 가장 쉬운 방법은 앱을 사용하여 QR 코드를 스캔하는 것입니다. 코드를 스캔하지 못하는 경우 구성 정보를 직접 입력할 수 있습니다. IAM에서 생성된 QR 코드와 보안 구성 키는 AWS 계정과 연동되기 때문에 다른 계정에서는 사용할 수 없습니다. 하지만 사용하던 MFA 디바이스에 대한 액세스 권한을 잃은 경우 재사용을 통해 계정에 대한 새로운 MFA 디바이스를 구성할 수 있습니다.

    • QR 코드를 사용하여 가상 MFA 디바이스를 구성하려면, 마법사에서 Show QR code(QT 코드 표시)를 선택합니다. 그리고 코드 스캔에 대한 앱 지침을 따릅니다. 예를 들어 카메라 모양의 아이콘을 선택하거나, 계정 바코드 스캔(Scan account barcode)과 같은 명령을 선택한 다음, 디바이스의 카메라를 사용하여 QR 코드를 스캔할 수 있습니다.

    • Manage MFA Device(MFA 디바이스 관리) 마법사에서 Show secret key(보안 키 표시)을 선택한 다음 MFA 앱에 보안 키를 입력합니다.

    중요

    QR 코드 또는 보안 구성 키를 안전하게 백업하거나, 혹은 계정의 여러 가상 MFA 디바이스를 활성화하십시오. 예를 들어 가상 MFA 디바이스가 호스팅되어 있는 스마트폰을 분실하는 경우 가상 MFA 디바이스를 사용할 수 없습니다). 이 경우, 계정에 로그인할 수 없으므로 고객 서비스 센터에 연락하여 계정의 MFA 보호 기능을 제거해야 합니다.

    그 디바이스는 6자리 번호를 생성합니다.

  7. Manage MFA Device(MFA 디바이스 관리) 마법사의 Authentication Code 1(인증 코드 1) 상자에 MFA 디바이스에 현재 표시된 6자리 번호를 입력합니다. 디바이스가 새 번호를 생성할 때까지 최대 30초를 기다린 후 새로 생성된 6자리 번호를 MFA code 2(MFA 코드 2) 상자에 입력합니다.

    중요

    코드를 생성한 후 즉시 요청을 제출하십시오. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, 디바이스를 재동기화할 수 있습니다.

  8. Assign MFA(MFA 할당)을 선택한 다음 완료를 선택합니다.

이제 AWS에서 디바이스를 사용할 준비가 끝났습니다. AWS Management 콘솔의 MFA 사용 방법에 대한 자세한 내용은 IAM 로그인 페이지에 MFA 디바이스 사용 단원을 참조하십시오.

가상 MFA 디바이스 교체 또는 "로테이션"

한 사용자에게는 한 번에 하나의 MFA 디바이스만 할당할 수 있습니다. 사용자가 디바이스를 분실하거나 이유를 불문하고 교체할 필요가 있을 경우, 먼저 기존 디바이스를 비활성화해야 합니다. 그런 다음, 해당 사용자를 위한 새 디바이스를 추가할 수 있습니다.